帝国cms高危SQL注入漏洞(盲注)系统自带RepPIntvar过滤函数使用方法
帝国cms源码开发的时候很多时候要用到$_GET过来的参数,在处理的时候如果不严谨容易被发现利用,给系统整体安全带来影响。
帝国cms系统本身有自带了过滤函数RepPIntvar,传递过来的字段加上过滤可以给安全加分。
错误的写法:$title = $_GET['id'] ;
未经过滤存在SQL注入漏洞风险
正确的写法:$title = RepPIntvar($_GET['id']);
对传过来的字段进行过滤。
这样在一些安全检测上会加分,不会存在检查SQL注入漏洞。
帝国CMSRepPIntvar()
function RepPIntvar($val){ $val=intval($val); if($val<0) { $val=0; } return $val; }
函数 RepPIntvar()
功能 将变量值转为正值得整形。
位置 e/class/connect.php
版本 7.0
上一篇:返回列表
下一篇:帝国CMS随机调用栏目的方法
热门排行
-
帝国cms网站地图sitemap.xml的制作方法2022年03月07日88
-
帝国CMS信息提示页美化模板(分享一个帝2022年03月09日55
-
帝国CMS怎么提高网页打开速度?(帝国CMS提2022年04月06日54
-
帝国CMS内容模板获取所有分页数和当前2022年04月05日49
-
帝国cms列表页调用文章关键词与tag的方2022年03月07日46
-
帝国CMS列表页文章怎么升序降序排列文2022年03月11日46